校园网络改造方案篇
[关键词]无线校园局域网无线控制器
[中图分类号].[文献标识码][文章编号]-()--
引言
随着各高等院校信息化建设不断深入,
各校园网络从网络结构、规模和带宽来看,校园有线网络已经基本形成。校园网已经成为校园生活工作的重要组成部分,是教职员工和学生获取资源和信息主要途径。
无线网络技术具有无缝三维覆盖、可移动通信等优点,弥补了有线网络的不足。据统计,到年,国内外有余所学校已经建成了无线校园网络[]。
前期已经建成的无线校园局域网由于先期资金投入不多,
大多采用基于智能型的接入点--传统分布式结构,该结构比较适合开放式或对用户行为控制不是很敏感的网络环境。但是随无线校园局域网用户数量和各种无线网络应用增多,无线网络规模逐渐扩大,
传统的无线校园局域网面临诸多问题:面对众多的无线接入点时缺乏集中的配置管理手段,
缺乏智能的管理,难以进行设置和无法统一部署全局的安全和接入策略等。
为此本文提出了的基于以无线控制器()的集中式管理架构的无线校园局域网。这种架构通过集中式管理来简化,
仅需要在校园网络中心加入一台无线控制器,将原有的转化为就能解决传统的无线校园网络面临的诸多问题。
传统的无线校园网设计
.网络现状
本文所讨论的无线校园局域网是以笔者所在学院为对象。目前学院在校学生余人,
教职工余人。学院一期网络是以千兆以太网多层交换技术和国内主流产品为主导的校园网系统,有线网络覆盖实训楼、学生宿舍和办公楼,
基本上达到了到楼层,到桌面的有线网络体系。随学院图书馆建成和某些课程教学过程要求联网的需要,在项目资金有限的情况下,学院两年前对一期网络进行了升级改造,
改造后的校园网络新增了图书馆和教学楼部分教室内的无线局域网部署。
新建的无线局域网采用的分布式组网架构,在一期的有线局域网基础上,配以、无线适配器、服务器等设备组成。
分布在各处的通过网络双绞线与教学楼或图书馆有线局域网的楼层交换机相联。独立地为接入的无线用户提供射频信号收发、通信、用户身份认证、数据加密、安全策略实施等工作,之间各自独立,互不相干。在无线网络覆盖区的配备无线网卡的、笔记本电脑和智能手机等移动终端设备,
通过临近制定的安全策略连接到无线网络,访问网络资源。
目前校园网的拓朴图如图-所示。
.存在的问题
选择的分布式组网架构建设校园无线网络,是由于该方案技术成熟、且初期资金投入不多。
现在经过年左右时间的运行,随无线用户和各种无线应用增多、无线网络规模逐渐扩大,校园无线网络在实际运行和维护过程中面临的问题逐渐显现:
.。面对逐渐增多的无线接入点时,
缺乏集中的配置管理手段
初期在图书馆部署了个室内,教学楼部署了个。网络中心管理员在进行网络维护过程中,
逐个登录了解设备的运行状况,修改的服务与安全策略,
维护各的地址和设备的映射关系。但是随新增图书馆会议室无线覆盖区域、需要无线网络覆盖教室数量增加,需要逐渐增加,数量上的增加使得管理员的维护和升级的工作相当繁琐和不便,
急需集中的配置管理手段提高工作效率。
.。缺乏智能的管理,
难以进行设置
在无线网络实际运行过程,如果出现工作在同一个信道的两个同时传输数据的情况,导致数据传输的冲突,
影响无线网络的性能。而且由于缺乏当智能的管理,
单点发生故障的时候,其它附近不能自动的提高周围??的发射功率,减少或消除无线覆盖盲区,
增加了无线网络不稳定性。
.。各”冷热”不均,无法实现负载均衡
有的时候多个用户连到同一台上,
而某些空闲,
使得用户集中的成为了无线网络性能瓶颈。
无法根据无线用户数量或者无线流量将负荷较重上的部分用户转移到其他上去,
使得各个??上的负载均衡。
通过经过年左右的实际运行情况,基于传统的架构组建的无线局域网,
其网络性能和管理模式已经很难适应校园无线网络规模逐渐扩大的实际现状。
为解决以上问题,
本文提出了基于无线控制器和的无线校园局域网解决方案。
基于无线控制器的无线校园局域网设计方案
.组网架构简述
本文提出的无线控制器+的无线网络解决方案不会改变现有的网络结构,仅需要在网络中心加入一台无线控制器,
再配以、无线适配器等设备而成。
.。无线控制器
目前,如、和锐捷等各大网络设备提供商都已经推出各种型号的无线控制器[]。
它可以完成无线网络的各种配置和管理工作,将以前在完成的功能集中到无线控制器,
简化了配置。
完成的功能包括的配置、管理和监控,以及无线网的接入认证、转发和统计、、安全控制等功能,实现了对无线网络的集中控制和管理。
.。
的出现时相对于而言的,
不需配置即可使用。启动时自动从下载配置信息,
只负责射频信号的发射和接收、传输数据的加密和解密,
并自动从服务器获取地址,相对于而言,的出现极大的简化了配置。
.无线校园局域网设计方案
.。需求分析
目前,
随图书馆二期工程中会议室已经基本竣工,学院召开大型会议时需要用到网络。
考虑到运用传统的有线接入方式需要在每个会议座位部署网络接入点,网络布线工程较大,
而图书馆在校园网一期改造完成后已经有了无线网络的特点,二期工程中会议室仅仅需要加入就能实现网络接入的要求。
校园网一期改造完成后,教学楼有部分教室已经实现了无线网络覆盖,但是由于越来越多的课程在课程改革过程运用了新技术,需要在课堂教学过程中接入网络,直接导致了需要无线网络覆盖教室数量增加,
需要逐渐增加。
针对以上需求和网络现状,如果还是采用在以前无线网络中直接添加的方式进行网络扩展的话,
就会使得本文在.中提出的由于逐渐增加后导致的问题更加突出,所以本文提出了无线控制器+的无线网络解决方案。
.。设计方案
本方案在原有的网络结构基础上,在学院网络中心加入一台无线控制器,它直接连接到网络中心交换机上,
对于以前无线网络中存在的通过软件升级一次性转化成,图书馆会议室和教室新增的直接配以。
新设计方案的校园网的拓朴图如图所示。
.新方案的优势
采用无线控制器+架构的无线网网络与传统采用架构组网相比,仅需在学院网络中心加入一台无线控制器,就可以将传统模式的?(仅需一次?到软件转换升级)或新增的?
,集中控管起来,形成一个集中配置、监控和管理的无线控制域。
新方案提出的组网架构,具备了自动的射频控制/调整,
灵活的认证机制、行为控制和设备管理。校园网网管员可以通过无线控制器内部的监控界面和日志报告,实施统一的认证管理和行为控制策略,清晰的了解异常流量,
未识别的攻击,以及告警的原因和分析,做出相应的决策,极大的减少人工配置和管理工作量。
可以看出本方案可以解决校园无线在本文.中提出的各种问题,而且还能够实施统一的认证管理和行为控制策略,
对于逐渐增多的无线网络中用户和无线应用需求提供安全保障。
结语
随着校园网络建设深入和无线网技术的不断发展,作为有线网的扩展和补充,相信将来会有更多的学校建设自己的校园无线局域网。
本文提出的基于无线控制器+的无线校园局域网建设方案由于具有集中的管理和统一的安全控制策略和多种定制功能等优势,将成为校园无线局域网建设方案首选。但是该方案建网成本高,
而且无线局域网内流量必须通过无线控制器集中转发,所以该方案更加适合在中型规模的校园无线局域网中推广使用。
[参考文献]
[]周立山。基于校园网的无线网络扩建方案浅析[]。电脑知识与技术,():-。
[]陈盈,郭文平。校园方案的相关问题研究[]。计算机时代,
():-。
[]李浩林,沈世锦,
张正凤。技术发展与组网应用的研究[]。电信科学,():-。
[]红斌。无线局域网设计与应用[]。长治学院学报,():-。
[作者简介]
孟清(-),男,
研究生,高级工程师,
研究方向无线网络安全;
钟山(-),男,研究生,
软件工程师,研究方向软件工程;
校园网络改造方案篇
关键词高校校园网无线网络建设方案
进入世纪,
网络的发展开始朝着宽带化和移动化的方向发展,截止到目前,前一种发展趋势已经定型,
后一种发展趋势仍在延续。近年来,
无线网络技术得到了快速发展,
而且其终端成本也呈现出下降的趋势,
这为无线网络的广泛应用奠定了良好的基础,
无线上网已经成为一种常态,
在影响着人们的生活和工作,无线网络服务也因此成为各运营商角逐市场的重要战略业务,在此背景下,高校市场也得到了开发,无线网络进入校园,
有助于高校校园网的进一步完善。
一、高校无线网络建设现状分析
(一)建设背景
早在年,运营商就开始关注校园市场,
并将无线网络建设作为一项重要的战略投资,在校园开展无线网络业务,服务于广大师生,在这种背景下,
高校无线网络建设随之开展起来。目前,各高校多只能够在计算机室等一些安装有线网络的区域上网,而高校师生的活动范围并不局限于这些区域,
他们越来越希望能够在图书馆、体育馆、宿舍楼等区域也能够连接上网络,搭建无线网可以满足这一需求。加快无线网络建设,
能够为教职员工以及学生的生活带来更大的便利,这也是为了适应校园网广泛服务发展需求而采取的必然举措。无线网络开始进入校园,由于无线网络具有开放性的特点,对校园网的安全认证服务、非法用户的监测以及无线网络信号提出了更高的要求,
当前高校无线校园网建设正处于起步阶段,因而还存在很多网络盲点,关于无线网络建设需要正确的指引,从初步建设到正式投入运行需要一个过程,有必要做好校园网络改造和建设方案优化工作,
为无线网络建设奠定良好的基础。[]
(二)部署方式
无线网络主要由有线网络和无线网络两部分内容组成,通过无线设备接入有线网络来实现无线业务。[]高校无线网络建设,
从技术角度来看,无线网络技术已经成熟,对其进行广泛应用已经具备了技术条件;从实际应用角度来看,校园网原有网络设施已经相当完备,
在此基础上搭建无线网络也已具备了现实基础。在实际建设中,主要有三种部署方式,
即室外放装式、室内放装式和室内分布式,前一种是将设备置于室外,
借助外置天线来实现;中间一种是将设备置于室内,通过网线连接天线来实现;
后一种是将设备通过馈线分布到各室内然后统一在一起,
进行合路部署。无线网络建设具体采用哪种部署方式,其主要依据是覆盖区域接入用户的密度,就校园而言,
建议采用室内放装式,在此基础上制定和优化建设方案。随着无线业务使用人数的不断增多,校园无线网络涵盖的数量也在增多,用户增多会导致处于饱和状态,
密集又会造成一定的网络干扰,要想解决这些问题,就必须对无线网络建设方案进行优化,进行多种方式部署,
如在宿舍区域,
可以改用室内分布式,解决并发密集的问题。
二、高校无线网络的建设方案
对于无线网络的建设,在此做出如下部署:
(一)明确建设目标,进行需求分析
高校无线网络设计要考虑到校园内的各种影响因素,
根据校园网的要求和无线网络的性能,确立建设目标,具体方案设计应从功能性、经济性和安全性三个方面入手,
将相关要素作为实施无线网络建设的影响因素。
具体而言,无线网络建设应满足以下几点需求:其一,通过无线网络对校园网进行访问,首先要解决出口接入的问题,
要想获取更多的信息资源,就要采取多种访问策略,具备更多的网络权限,
即要达到多出口的设计需求。其二,
无线网络也有其自身的局限性,
由于网络处于相对开放的状态,攻击者非法窃取信息资源有了可乘之机,对此应做好网络安全管理工作,
即要达到安全管理的设计需求。其三,校园网用户的素质较高,对信息资源需求更大,内部访问较为集中,
网络设备需要承受相当大的压力,对此应对用户进行身份认证,对网络资源进行合理分配,即达到用户管理的设计需求。
此外,
还要考虑到应用系统支持、信息标准、建设成本等方面的需求。[]
(二)把握规划原则,安排设计步骤
无线网络建设应遵循一定的原则,在实用性原则指导下,
搭建高效、低成本的无线网络,确保无线网络的可靠性,
使校园网能够稳定运行,此外还要遵循扩展性、安全性等原则。对于无线网络的搭建,可按照以下步骤进行:第一,
勘察调研,调研内容包括用户主体、使用设备、工作环境等。第二,分析现时运行环境,重点探讨网络、系统和用户之间的应用关系,
据此提出解决方案。第三,设计初步方案,需要提交书面化解决方案,涉及设计资料、设计目标、数据流图等内容。
第四,执行设计方案,方案评审通过后便进入实施阶段,需要对无线网络的覆盖范围、响应时间、冗余容量、安全性能、可靠性等内容进行测试。
(三)选择协议标准,制定应用方案
目前无线网络的主流组网模式有两种,
即胖模式和瘦模式,前者在初期投入成本较低、见效较快,但是不便集中管理。因此,
建议采用后一种模式,该种模式简化了配置,无线网络的整体性能和安全管理水平都能得以提升,结合校园网的实际使用需求,
有系列、等协议标准可供选择,其关键点在于对安全方案和应用方案的制定,安全方案要解决审计、认证、加密等问题,对于无线网络的额加密,通常采用-方式;
应用方案涉及具体的应用领域,主要是对有线网络进行扩展的补充。[]
三、结论
通过对高校校园网建设现状的分析,
鉴于无线网络具有易维护、易架设、抗干扰性强等优点,以及无线网络技术的广泛应用,加快高校无线网络建设,
已成为高校校园网发展的一个趋势,在此背景下提出无线网络的建设方案,
具有重要的现实指导意义。
(作者单位为沈阳航空航天大学)
参考文献
[]王凤霞。校园网无线网络管理与应用优化[]。复旦大学,。
[]林兴国。无线网络在大学图书馆网络建设中的应用设计――以四川大学图书馆为例[]。四川图书馆学报,
,():
-。
[]谭荣艺。高校校园无线网络的构建和应用[]。华南理工大学,。
校园网络改造方案篇
关键词:校园网拓扑
一、校园网问题分析
(一)校园网应用中的安全问题
对于校园网而言,它虽然给师生带来了资源共享的便捷,
但同时也意味着具有安全风险,比如非授权访问,
没有预先经过授权,就使用校园网络或计算机资源;信息泄漏或丢失,
重要数据在有意或无意中被泄漏出去或丢失;以非法手段窃得对数据的使用权,
删除、修改、插入或重发某些重要信息;不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪;
利用网络传播计算机病毒等。
尤其对于内部专有资源来说,
如果直接对外开放,网络的不安全性将给教学及校园信息管理带来不可估量的损失。
(二)校园网应用中的区域问题
随着学校的发展、项目的合作以及文化的交流等,学校规模将不断扩大,不同校区要实现资源共享,
同时师生们越来越多地走出校园,他们也可能需要用到校园内部专用网络资源。
通过校园内部专有的拨号网络系统访问这些资源当然是一种解决方法,但是这种方法的缺点是速度慢、花费高、不安全。某校园网拓扑图如图所示。
图某校园网拓扑图
二、校园网建设改进方案
通过对校园网应用中存在的问题的分析,发现校园网急需解决的问题是:第一,
在最优性价比上选择方案,实现两个校区间的资源共享;第二,移动办公的师生可以方便、快捷地远程访问校园网专有资源,
而不会给校园网带来安全隐患。
由此,我们对可选的方案进行对比。
(一)专线连接方案
我校的两个校区可采取专线方式进行连网。
这种连网方式的优点:连网速度快;网络相对安全。
但缺点也是明显的,主要体现在以下几点:
。连网费用巨大,不符合网络设计经济性原则。
。性价比低,
巨大的投入与所获得的网络性能不相匹配。
。可扩展性差,当新增节点时,
局部网络的变化,
可能引起整体网络的重新配置,不符合网络设计的可扩展性原则。
。专线看似安全,其实不然。因为专线中信息的传输一般不进行加密处理,
信息在网络中以明文传输。封闭网络中的每个信息点都可能成为攻击服务器和重要信息点的隐患。另一方面,封闭网络即便能很好的管理所属的各个信息点不被非法利用,
也不符合网络设计的开放性原则(特殊专用网除外)。
(二)公网连接方案
现在网络发展的趋势是所有的网络,无论是、卫星网、无线网等的构建都向基于/协议的网络发展,/协议几乎成为的统一实现标准,
因此网络协议层次的安全性分析集中在/协议簇上。但是/的安全性令人不满。它最重要的安全问题是它们没有认证通信双方的真实性的能力,而且缺乏有效的认证机制。这主要是由于/的安全和控制机制是依赖于地址的认证,
然而一个数据包的源地址是很容易被伪造和篡改的。更严重的是网络控制特别是路由协议根本就没有认证机制。另一个主要缺点是/协议没有能力保护网上数据的隐私性,数据是明文传输的,缺乏保密机制。
这样,
/不能阻止网上用户对网络进行监听,因此就不能保证网上传输信息的机密性、完整性与真实性。使用这种连接方式,校园网的内部专有资源也将无法受到保护。
(三)拨号连接方案
拨号连接需要在南校区安装一台拨号服务器、一个调制解调器池和若干个电话连接,远程计算机使用调制解调器或拨号访问来连接校园网。通常,在需要对校园网进行短时间的访问时可以使用这种连接方式。
这种连接方式易于使用,可借助广泛分布的电话线进行网络数据传输,因此通讯费用也不会很高。教师在家或出差在外需访问校园网内部资源时,
上网地点位置分散、移动性强并且不需要永久连接。拨号连接的方法比较适合广大师生的远程办公需求。但通过拨号连接接入网络时,
数据的传输速度和安全不能得到很好的保证[]。
(四)技术方案
虚拟专用网络(简称:)利用公共网络来构建专用网络。所谓虚拟,是指用户使用公用网络的数据线路来代替实际的物理数据线路。所谓专用网络,
是指用户可以为自己制定一个最符合自己需求的网络[]。校园网技术方案可以通过公众网络建立私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,
减轻了校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。
一般而言,和是目前校园网方案采用最为广泛的安全技术,但它们之间有很大的区别,总体来说,
是提供站点与站点之间的连接,比较适合校园网内分校与分校的连接;而则提供远程接入校园网服务,比如适合校园网与外网的连接。
从技术架构来看,
是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,
可以实现与专用网安全连接,而不管是哪类网络应用,
它将远程客户端“置于”校园内部网,使远程客户端拥有内部网用户一样的权限和操作功能。还要求在远程接入客户端适当安装和配置客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。
三、结论
采用技术搭建统一网络管理的校园网是一个成本低且安全的方法,可以说为校园网的延伸和发展提供了巨大的潜力。
参考文献:
[]危珊。基于技术的校园网研究[]。江西:江西师范大学,。
校园网络改造方案篇
关键词:江苏电大张家港学院网络改造案例分析
江苏电大张家港学院是省电大直属二级学院,
地处苏州市张家港市,
教学规模涵盖五年全日制、三年全日制、业余成人开放及远程教育、社区教育。
年月在市政府大力支持下,
并购一所学校作为我校的北校区,
逐步形成一校两区,
全日制、业余、社区三个教育主体均衡发展的基本模式。
江苏电大张家港学院本部设立在北校区,主要负责全日制非毕业班的教学工作,地处合兴镇镇中,南校区主要负责全日制毕业班、成人业余和社区教育的教学,
地处张家港市市委所在地杨舍镇,
地理条件优越,适合成人教育。
学院及其网络的现状如下表所述。
一、现有网络运行的限制因素
需要面对承载更多业务的迫切需求,如视频会议、电话、学院网一卡通、等对网络有较高要求或指定要求的应用的部署,
不同的业务需要网络部署不同的应用功能,等应用程序往往需要更改网络流量模型、更改会话链接模型的情况,凡此种种的需求均给网络带来不稳定的因素。
网络的安全性和稳定性还需要不断地提高标准,因为攻击事件主要是病毒感染、黑客入侵、蠕虫和木马、垃圾邮件侵扰、拒绝服务攻击等,
其引起的安全事故时有发生。攻击的来源有外部也有内部,并且随着时间的推移,
由内部因素引发的安全事故数量正不断增多,尤其是由青年学生集中的高校特别突出,
而布置的杀毒软件、等防护手段难以全面兼顾,局部的安全事故往往会影响到网络的整体安全。
二、改造方案模型设计
本方案考虑用思科蓝图使用的体系结构来定义学院网的模型,该模型使网络内的功能界线更加清晰,
这个模型中存在三个功能区:学院园区、学院边界和服务供应商边界,
每个功能区包括多个网络模块,网络模块又包括多个层面。
模型设计时参照的几个要点,可以提高模型设计的层次:
()访问层使用两层交换机,
分布层和核心层使用三层交换机。
()不应该跨园区网,因为这会降低网络收敛的速度。
()对于较大的学院网络,
需要有单独的分布层,这样便于扩大网络规模。
()核心层需要冗余链路,当然也建议在核心层到分布层、分布层到接入层之间设计冗余链路。
综合需求分析,
我们将使用适当层次结构的学院复合网络模型。
模型含有学院园区、学院边界和服务供应商边界三个功能区。每个功能区还可以进一步划分为多个模块,如下图所示。每个模块包括核心、分布和接入功能。
远程用户和南北校区将在互联网上使用进行通信,
因此在该模型中没有提供或中继/模块。
以下将提供北校区、南校区和远程用户提供相应的冗余设计模型,然后会对用户设备及服务器进行描述。
三、学院网的拓扑结构
现教中心子网、图书馆子网、宿舍区子网和核心交换机之间采用三层路由方式。其他汇聚层交换机与核心交换机之间采用方式。
该设备选型方式完全可以满足台计算机的高速接入,并可实现对每台交换机和每个端口的管理和监控,实现划分、身份认证、组播、服务质量等各种网络应用,
实现数据的无堵塞传输。
今后如果想要提高网络的稳定性,可以采用模型设计中的样式实现与所有汇聚层交换机的双链路连接,
并借助技术实现路由冗余。
四、地址和的规划
地址的合理规划是网络设计中的重要一环,计算机网络必须对地址进行统一规划并得到实施。地址的规划,直接影响路由协议算法的效率、网络的性能、网络的扩展、网络的管理,
也直接影响网络应用的进一步发展。
地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,
又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由类聚,
减少路由中路由表的长度,
减少对路由器、内存的消耗,
提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时遵循以下原则:
()唯一性:一个网络中不能有两个主机采用相同的地址。
()简单性:地址分配应简单易于管理,
降低网络扩展的复杂性,简化路由表项。
()连续性:连续地址在层次结构网络中易于进行路径叠合,
大大缩短路由表,提高路由算法的效率。
()可扩展性:地址分配在每一层上都要留有余地,
在网络规模扩展时能保证地址的连续性。
()灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,
充分的利用地址空间。
()当网络以私有地址分配接入时,
网络应采用地址转换功能(),过滤掉私网地址。
下表表述了和地址分配。
五、结语
张家港学院网络系统改造方案中运用设计流程规范,择取需求分析和方案设计两个部分来进行阐述,详细描写了分析和设计阶段的工作,运用思科的概念来规范网络,
使得设计成型的网络具备更好的规范性和扩展性,同时在网络中思科配套设备的广泛使用,使得整个系统在概念下高度集成,充分发挥思科设备的整体协调性。
蓝图的安全理念主要体现在三点:其一,真正能够确保网络安全的不是一个个单点的产品,而是一个完整的安全体系。
这个体系的实施建立在对网络的深入的模块化分析基础之上,通过弄清网络中各个模块的薄弱环节,然后再有针对性地采用深度防御的战略。其二,模块化的分析方法可以使网络结构和安全部署一目了然,
可以避免在网络安全方面的重复建设和遗漏空白。
同时这种模块化的分析方法还可以保证网络的可扩展性。其三,安全性是过程而不是产品。由于网络处于一个不断变化的过程中,因此网络安全也是一个动态的、循环提升的过程,
这就决定网络安全策略的制定和实施必将是一个持续的、动态的过程,而不是单纯地“将防火墙放在这儿,将入侵检测系统放在那儿”。
参考文献:
[]仲炜。高校数字化校园网络系统设计与规划。中国海洋大学硕士论文,
。
[]张海涛。移动自组织网络()路由协议研究与改进。北京邮电大学硕士论文,。
[]胡敏。探询校园网新药。中国计算机用户,。
[]疏志年。校园网网络安全体系研究。南京理工大学硕士论文,
。
[]服务器性能测试相关的常用工具。技术开发专区。。省略////。,。
校园网络改造方案篇
关键词:校园网;准入/准出认证;统一认证
中图分类号:.文献标识码:文章编号:-()--
引言
现在的校园网中,随着网络应用的增多,
网络安全问题层出不穷,虽然部署了防火墙、入侵检测系统、网络防病毒系统和漏洞扫描系统,仍然难以抵挡越来越多的网络攻击,网络应用的可持续性根本无法保证,在分析众多的网络攻击事件后,
发现绝大多数网络攻击并不是用户有意发出的,而是在不知情的情况下被种植木马或病毒造成的,虽然可以安装网络版杀毒软件进行查杀,但是现实情况是部分网络用户不能够及时的更新系统补丁和升级病毒库,
导致每一个网络用户均有可能成为网络攻击的受害者,甚至是网络攻击发起者,
因此只有从终端入手才可以解决内部网络安全性问题,网络准入的核心问题就是从网络接入客户端的安全控制开始,使用认证服务器,安全策略服务器和网络设备,
以及第三方的软件系统,综合完成接入客户端的强制认证和安全性检查,
以保证网络安全。
因此在年思科公司首先提出网络准入控制(-)的概念,并联合其他厂商开发并推广。随后微软也提出了相应的网络准许接入保护方案(-),
在国内华三也推出了“终端准入控制()”系统。
现在国内外安全准入应用分为两大阵营,
一部分是基于网络硬件设备的,
主要代表有的和的;
另一部份是基于软件的,
主要代表有的和微软的。
无论是基于软件还是硬件,最终如果想控制到端口,都需要应用.技术。
据统计,目前国内高校中超过所高校采用了.技术进行准入认证。很大程度上是缘于这种技术可以很好地做到“入网即认证”,在用户接入的入口,进行精细的控制。
准入/准出统一认证系统的研究,可实现用户在访问网络时通过用户名和密码进行网络准入认证后,在需要进行准出认证访问互联网资源时,系统自动进行用户认证,
无需用户再次输入用户名和密码,
保证了用户在访问网络时的连续性,增强了准入/准出认证系统的用户体验。另外由于准入和准出的用户名统一,管理员在建立、修改、删除网络访问策略时,
做到各个用户在准入/准出控制策略上的一致。
设计背景
校园网准入认证采用的认证,其基于.认证,用户在访问校园网是需要进行终端认证,认证成功后才可以访问校园网。
.认证策略建立在接入交换机中。当用户需要访问互联网时,用户需要通过计费网关进行计费认证,
计费认证是基于的网关认证,认证策略建立在学院网络出口服务器中。
两次认证的网络拓扑图如下:
客户端访问校园网时首先发起准入系统认证,
认证通过后准入系统返回数据给客户端,此时用户可以访问校园网内资源;当客户端需访问互联网时,客户端发起准出系统认证,
认证通过后准出系统返回数据给客户端,此时用户可访问互联网。
两次认证的工作流程如图:
设计方案探讨
当进行软件开发时,
若想将两套应用系统进行对接,
最常用的方法是开发第三方中间件,两套系统之间的数据通过中间件进行传递,因此需将两次认证的工作流程进行改造以保证客户端只进行一次账号认证,
即可完成准入和准出系统的认证。
根据系统认证流程分析,客户端发起准入系统认证无法改变,关键在于准出系统如何获得客户端的准入系统账号。
准出系统获取客户端的准入账号方式有两种:一种是准入系统推送账号,另外一种是准出系统调用账号。
.准入系统推送账号
当使用准入系统推送账号方案时,
客户端访问校园网时首先发起准入系统认证,此时需要用户输入账号,
认证通过后准入系统返回数据给客户端,
此时用户可以访问校园网内资源,同时准入系统将客户端账号发送给中间件;当客户端需访问互联网时,
客户端发起准出系统认证,
此时用户不需再次输入账号,账号由准出系统向中间件调取,调取成功后将账号传递给准出系统,认证通过后准出系统返回数据给客户端,
此时用户可访问互联网。具体方案如图-所示:
此方案存在的问题是当多数用户不访问互联网,
而是只访问校园网,中间件中会存留大量的用户信息,进行准出系统认证时会延长准出系统查询用户的时间,访问量大时还需考虑中间件的性能。
.准出系统调用账号
当使用准出系统调用账号方案时,
客户端访问校园网时首先发起准入系统认证,此时需要用户输入账号,认证通过后准入系统返回数据给客户端,
此时用户可以访问校园网内资源;当客户端需访问互联网时,客户端发起准出系统认证,
此时用户不需再次输入账号,账号由准出系统向中间件调取,中间件如果没有查询到账号信息,再向准入系统调取,调取成功后将账号返回给中间件,
最后传递给准出系统,认证通过后准出系统返回数据给客户端,此时用户可访问互联网。具体方案如图-所示:
此方案存在的问题是当用户访问互联网时,
数据需要从准入系统、中间件、准出系统中往来几次大大延长了准出系统调用用户的时间,访问量大时也需要考虑中间件的性能。
最终设计方案
根据以上两个方案分析,
账号在传递过程中会存在查询延时的问题,严重影响用户体验,因此如果能够只进行一次查询即可完成账号传递是最优方案。
可将准入系统与中间件合并,
由中间件直接在准入系统中进行账号查询,查询后由准入系统调用准出系统的认证过程,将返回数据传递给客户端即可。具体方案如图-所示:
结束语
校园网准入和准出认证的统一,
在为用户提供安全的网络应用环境的基础上,提高了网络应用的用户体验,
虽然仅进行了两套系统的统一认证,但随着技术的不断更新,
多异构网络应用系统的统一认证问题会逐步解决,统一认证的应用也会在各种网络环境中应用,从而为提高网络的应用水平发挥更大的作用。
校园网络改造方案篇
关键词:校园网;网速度慢;
网络安全;认证服务器;防火墙
中图分类号:文献标识码:文章编号:-()--
年月致月,
广州城建职业学院学院进行了网络管理系统的升级整改工作,作者有幸参与了校园网第三期工程方案的规划、设计并组织参与了整个项目的招标、评标、工程建设、并承担了该网络的运维工作,
该三期网络项目共投入经费万元。该项目的具体介绍如下:
网络现况
.覆盖范围
该校园网于年开始建设,经过一二期的建设,
已有信息点余个,
网络采用了三层网络架构,信息点都采用了类双绞线连接致接入交换机、接入交换机有实达+和部分长城承担。接入层交换机通过双绞线汇入到每层的汇聚交换机上,汇聚交换机有承担,汇聚交换机再通过单模光纤接入核心交换机上。
该校共有两个校区,
校区之间相距大概公里左右,校区面积加起来共有余亩。校园内共有栋楼房,
栋是学生宿舍楼,栋教师宿舍楼,栋教学楼,
实训楼(楼是图书馆和电子阅览室,
楼是实验教室,到楼是计算机教室,
其中楼为校园网络中心)、办公楼、体育馆、商店、学生食堂各有栋,楼与楼之间的距离:-米;园内有管道敷设。
.信息点的特点
这方面的需求不同学校有着明显不同,大体都可以分为,
教学、办公、服务这四方面应用。
如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。
.软硬件配置
接入交换机由实达+和部分长城承担,
汇聚层交换机由承担,汇聚交换机再通过单模光钎接入核心交换机上。网关由.服务器承担,在此上运行了和计费软件。
出口有两个分别是的电信网络和的教育网络。
.当前管理模式
由于校园网络采用基于网关的认证计费方式,网络用户登录外网必须在网关出口处认证,网络使用高峰时段网络系统出现瓶颈,
导致网络用户登录外网困难、上网掉线。无管理软件,全是管理人员手工进行管理。
当前存在的管理问题
.网速问题
开学以来新开用户剧增,
总用户数量较大,较前期最高增加%,
最大同时在线人数已达以上,现有校园网络系统(网络认证计费系统、出口带宽、交换设备等)不堪重负,已超出其使用极限,
网络结构及网络设备在近期的运行中暴露出诸多问题,
主要表现在:
.。网络结构不合理
由于校园网络采用基于网关的认证计费方式,网络用户登录外网必须在网关出口处认证,网络使用高峰时段网络系统出现瓶颈,导致网络用户登录外网困难、上网掉线;
.。网络主要设备性能不够
由于专用的路由和(网络地址转换)硬件设备由服务器替代,
网络使用高峰时段服务器资源利用率接近%,导致用户上网速度慢,打开网页困难;
.。网络出口带宽不够
现有出口带宽(:,:)不能满足现有校园网络用户的上网要求,
网络使用高峰时段出口带宽一直处于满负载状态;
.网络安全问题
网络整体安全性较差:在校园网络前期建设中使用的交换机性能较好,但无法进行有效的网络安全管理,盗用地址、利用欺骗、私设等情况日益严重;
.网络失控
网络管理难度加大:随着接入用户的增加,
无论是维护、收费还是管理难度越来越大,网络设备的维护工作量剧增;内网资源少:校园网络没有建立内网资源库、学习资源库平台、安全稳定的邮件系统,
为用户提供的应用服务少。
在校园网络前期建设中使用的交换机性能较好,但无法进行有效的网络安全管理,
盗用地址、利用欺骗、私设等情况日益严重;
现有出口带宽(:,:)不能满足现有校园网络用户的上网要求,网络使用高峰时段出口带宽一直处于满负载状态;
由于专用的路由和(网络地址转换)硬件设备由服务器替代,
网络使用高峰时段服务器资源利用率接近%,导致用户上网速度慢,打开网页困难。
整改思路
根据此种情况,
计划在近期进行校园网的改造升级,提出了校园网的升级改造要求:
)校园网是应用为主的一项基本建设工程,校园网应将其根本目的定位在为教学、科研、管理及生活服务上,以满足学校事业发展为第一目的;
)根据学校的财政状况,
不盲目追求设备的先进性,
而注重投资的效益;
)充分利用先进的网络技术及设备满足校园网要求,所采用的技术及设备具有满足近期(年内)学校发展的需求并有较大的升级改选余地;
)强化管理功能,校园网建设重要,
管理更重要。要管理好校园网,除了网管人员的专业素质和道德水准外,网络的规划和设计、网络设备的选择非常重要;
)校园网络建设的重点是应用,各种网络应用与服务需要开展。
整改实施方案
.拓扑结构
一个好的校园网设计应该是一个分层的设计,
在本次网络工程方案设计中仍然采用三个层结构:接入层(访问层)、汇小学四年级作文大全聚层、以及核心层。
案设计中仍然采用三个层结构:接入层(访问层)、汇聚层、以及核心层。考虑到两个校区人员都比较多,
核心交换机明显不堪重负,且南校区汇聚层都直接接入核心,南北校区之间的光纤已经无冗余,股采购一个全新的性能高好的核心交换机,把现在的潜入南区,
作为南区的核心交换机,这样南区以后再建网络项目可以直接接入它即可。
本次核心交换机我们选择了锐捷三层交换机,该交换机具备冗余电源模块,有//-电口个,-接口数个,
并有扩展槽。能够满足当前以及今后-年需要。接入交换机选择-交换机,该交换机具有.认证功能,具有口,
只需要台,每台通过双绞线连接致汇聚交换机上,
汇聚交换机通过光纤连接时南区的上,使用多链路捆绑技术,从而达到带宽倍增,均衡流量等目的。
.网络安全控制
部署了基于.的认证服务的系统,
做到全网统一身份认证,系统实现了全体学生宿舍、教师宿舍、办公区域和公用机房的身份认证。系统基于.技术,实现了对用户对用户的身份和、、交换机端口、交换机等信息严格绑定,一旦出现安全事件,
可迅速追查到人;针对网络中的安全事件(网络攻击、异常数据流、蠕虫病毒等),
能够自动发现,并可以依据预定的策略自动进行处理,
保障网络安全,提供强大的实时在线升级功能,抵御最新的网络攻击和病毒。对于存在安全问题的用户,系统将自动告警,
提示用户可能存在的问题,以及处理方式;
提升用户安全意识,
让用户切身体会到安全问题的严重性,网络安全组件统一管理,协同工作。
构建一个全局安全网络。整套系统管理简单,后期需投入的管理工作量小,
所有安全设备均旁路部署,
不形成性能瓶颈和单点故障;部署完成后将极大的提升现有网络性能。
.出口设备的选择
以前由于经费问题没有购买硬件网关,出口网关一直让真情自然流露500字作文有一台安装了.的@服务器承担,在其上配置实现网络地址转换和实现简单网路安全功能。
但是由于上网认识的增多,网络使用高峰阶段,
服务器资源使用率接近%,导致用户上网速度慢,打开网页困难,况且也不安全。
所以这次我们采用了锐捷公司的-防火墙,该防火墙具有//-端口个,吞吐量达到,
最大并发连接数达到,每秒钟新建连接数也大于,隧道数大于个,策略数大于个。部署以后,
不再是网络瓶颈。随后我们在防火墙上启用了防蠕虫病毒功能,
启用了对常见软件的流量限制功能,保证率网络带宽的合理利用,由于学员有电信和教育网双出口,我们亦在防火墙上开启了策略路由和负载均衡技术。
.网络管理模式
目前,系统正在对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测,
可以在第一时间内将网络异常现象通过接入层隔离出网络,使得网络异常现象完全不影响核心网络;在发现安全问题后能自动对用户进行安全事件告警,并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。该系统部署完成后一个月的稳定运行中,
对网络内的安全事件和网络病毒进行了有效抑止,最直接的例证就是:全国蔓延并造成严重影响的各种病毒,在我学就悄然无声。
另外,通过的主机完整性()规则约定了对用户主机的准入标准。通过先进的“免疫型”防欺骗/攻击手段,
能够彻底解决攻击带来的断网事件的发生。
从系统提供的安全事件的统计报表对比来看,学校园网络中的安全事件已经较部署前有了大幅度的减少,网络质量得到了显著改善,校园网用户的网络安全意识也有了很大的提升。
系统极大保证了网络的安全性,提升了网络管理效率。
.传输介质
我们学院分为南北两个校区,相距公里左右,且中间有高速公路隔开,
网络信息中心在北区办公楼室,在这次方案中有新建网网络项目分别是汽车试验大楼和南区栋学生宿舍大楼,故在本次方案中汇聚层交换机与核心层交换机使用单模光纤,汇聚层交换机与接入层交换机以及接入层交换机到桌面都在一栋大楼内,距离没有查过米,
故采用超类非屏蔽双绞线,
带宽。
结束语
本校园网三期扩建改造项目于年月日基本完工,并投入运行。并与月日验收通过,
并对对结构化布线工程的光纤及双绞线性能参数、网络流量进行了相关测试。本工程项目加快了网络速度,加强了网络安全,
得到了学院领导和学生用户的一致好评。
参考文献:
[]陶嘉庆。信息安全保障建设时间的思考[]。广播与电视技术,():-。
[]彭绍平。关于我国网络信息安全的思考[]。图书馆工作与研究,():-。
校园网络改造方案篇
[关键词]校园网规划,
资源库,
培训,应用。
我们从校园网建成伊始就意识到,用好校园网的关键在于应用系统的建设,
教育资源库的建设比校园网本身的建设更重要也更困难。必须大力开发校园网的各项功能,
使其在现代教育技术的应用中发挥突出作用,
才能改变全体教师的观念,让大家认识到教育技术手段的现代化和教育信息化程度,对推进学校教育现代化,
具有战略性的指导意义。
因此,我们将教学应用系统建设作为校园网建设的核心任务,进行教师全员培训,强化网络管理。经过几年的努力,
老师们已经感受到校园网在教学活动中的优越性和先进性,在工作中对校园网的依赖程度越来越高。
我们的体会是:网络环境是基础,教学资源是核心,人员培训是关键,全面应用是目的。
一、合理规划网络,
给师生一个友善的备课和学习环境。
网络建成以前,由于设备有限,
常常是多位老师或学生使用一部电脑,老师们和学生的文件资料只能存放在毫无安全保障的本地磁盘上,文件资料时常被无故的删除或修改,这些问题常常困扰老师们。网络建成之后,
如果没有合理的应用规划,仍然发挥不了它的功能和效益,若能让老师和学生拥有自己的网络帐号,并且成功登录,以上的诸多问题即可迎刃而解。
我们使用的是操作系统。为了充分发挥强大的域用户管理规范,我们做了合理的规划和配置。
、主域服务器规划
主域一:“”,
用于教师登录和教师文件服务,拥有教师服务器、备份域服务器、资源服务器和图书馆服务器各一架。
主域二:“”,一架高性能学生服务器,可提供给架学生机器同时登录。
主域三:“”,用于网站服务,包含有服务器、服务器、服务器各一架。
、域用户组规划
校长组:校级领导的隶属组。
处室组:办公室组、教务处组、政教处组、教研室组、总务处等组的上一级隶属组。
教师组:语文组、数学组、英语组、物理组、化学组等各教研组的上一级隶属组。
班主任组:班主任的隶属组。
网页制作组:“”域上的用户组。
学生组:初一组、初二组等各年段学生组的上一级隶属组。
、域用户规划
每个老师隶属于教师组和各自的教研组,由于学校领导和各处室人员均有兼课,有的老师既是任课教师又是班主任,
因此同一个老师可能有双重或多重身份。
、个人存储空间规划
使用用户环境配置文件,创建各个用户组的登录脚本,让老师登录网络之后,自动映射出自己的网络驱动器。
建立全校的教师公共交换区和组内交换区,便于信息交流。
例如电脑组成员登录脚本内容。
:\电脑组$/
:\公共交换区$/
:\共享数据$/
使用三个隐藏的共享目录,“电脑组$”、“公共交换区$”和“共享数据$”,
目的是让其他网络用户看不到它们,而登录成功的用户则可通过登录脚本将它们映射成网络驱动器,
如图所示。
、用户权限规划
右图图中是以林福荣私人拥有的帐号登录的,他隶属于“电脑组”,因此他可以看到全组的成员,但除了对自己的目录“林福荣”拥有完全的访问权限之外,
其他教师的目录他是无法进入的。
:盘为全校的公共交换空间,只要是合法用户并且登录成功之后,他就对“公共交换区”拥有读写权限,
但没有修改权限,这是为了避免大家的交换文件被修改或删除,
因此“公共交换区”也是一个安全的数据存放区。
:盘存放的是学校各种管理档案、教学档案、教学资源、各学期期中考和期末考试卷存档、各学期期中考和期末考成绩存档等共享数据。提供给具有相应权限的老师和管理人员使用。
例如,我校各学期期中考和期末考试卷要求教师必须用计算机设计和编辑,老师可以在网上直接将试卷缴交至“考试中心”,
由考试中心审核和打印。
随着计算机成为必修课程,
开设计算机课的年段增加,学生用户数也随之增加,因此计算机的用户管理上有着用户量大,用户分类多,用户变化大的特点,
这些特点对计算机网络管理员的管理带来了很大的挑战性。
我们采用了校园局域网批量用户的管理策略,
利用学生的学籍数据库和的“和”等命令,生成命令行的批命令文件,
轻松的解决了包括开户、分组、文件夹权限设置、登陆限制、登陆脚本等大量用户的管理工作。
二、大力开发教学资源库,满足创造教育和个性化学习的需要。
网络仅仅是信息化的形式,丰富的信息资源和方便的获取方式才是信息化的内容与实质。要充分发挥校园网的效益就得根据教学、科研、管理的不同服务需求,建立类型齐全、信息丰富的校园网信息资源体系。
因此我们开发了庞大实用的七个教学资源库,让每一位老师感受到校园网实实在在的作用。
七个资源库总容量达多,其中图片近二十万张,
动画一万五千多个,音频文件千多个,课件四百多个以及大量的文字资料。采用浏览器/服务器(/)方式来组织这些资料,
方便老师浏览和调用,使他们能充分利用网络资源。
、学科资源库
该库目前有语文、历史、地理、音乐、美术等学科资源,还有音效、动画、图片、图象、视频等分类资源。
教师可以随时随地直接调用这些资源上课。
、备课资源库
①教学图片库:将原来的幻灯片、投影片和教学用的各种挂图以图片的形式存放在网络上,建成教学图片库。②视频片断库:教学中运用一些视频小片段,仅需播出几分钟就能解决课堂教学中的某个难点。
我们从或其它影像资料中采集视频小片段存放在服务器上,目前库中存放了个视频小片断。③音乐音效库:将中学音乐课的教材录音、参考资料转为数字信号并搜集有大量的、、音乐、音效资料总计约有多件④教学动画库:收集和制作供教学使用的各种类型小动画多个。
、课件点播库
库中有多个各学科课件,
一部分是我校教师自己制作的,一部分是通过不同渠道收集来的。
由于使用运行脚本,无论是文稿还是打包的可执行文件,或者是网络课件均可以直接点播,
无须考虑运行环境和如何安装。
、教案库
我校承接了福建省基础教育教学改革实验课题“创造教育整体改革”,许多教师参加了课题研究,
他们有很多创造性的教学模式和研究性教案,都已成为教案库的主要内容。
、试题库
该题库主要用来存档本校每学期期中和期末试卷,要求每一位出卷教师必须提交试卷的文档。同时也收集各学科历年的高考试题、竞赛试题和各类练习题。
、学生成绩库
成绩库中存放的是每学期期中和期末考的学生成绩,主要目的是配合试题库中本校各学期对应的试卷存档库,
对每一位学生的学习情况做追踪分析。
只有合法的“”域用户成员登录成功后才可以查阅成绩库,防止学生随意的浏览别人的成绩。使用数据库和技术,建立基于浏览器方式的查询界面。
、网络教室
自制、收集、购买了几十个理、化、生实验仿真软件和英语、计算机学习软件,供学生自学用。
除此之外,
我们还购买了等多家公司的大量教学资源和软件,
容量达。目前校园网内可供学生和老师使用的资源已达之多。
校园网上庞大的教学资料库为教师提供了丰富的信息资源,配合我校承揽的省级重点课题“创造教育整体改革”,
为我校教师进行创造性的教学实践,为学生研究性学习,为教学方式的改革,
起到了积极的作用。
三、强化教师全员培训,探索信息时代教师继续教育的新模式。
不断提高校园网的使用水平和效益是校园网建设中的关键工作,应该加强教师继续教育的信息化环境建设,
尽快使更多的教师熟悉和适应信息时代的教学新环境,
因此在建网的同时我们对教师、学生分层次进行技术培训。
、网络管理人员:一支技术过关的网管队伍是校园网正常运行和可持续发展的保证。
我们的网络管理人员都参加了建网的全过程,同时积极的参加各种较高层次的专业培训,
有能力自己完成系统集成,
近几年的网络维护和持续建设均由自己的网络管理人员完成,这样既锻炼了网管队伍又节省不少的经费。
、教学人员:全体教职员工按需求的不同,
分层次进行培训。我校举办了①现代教育技术培训班,参加对象是全体教师,目的是使我校全体教师人人都能熟悉并使用我校所拥有的现代教育技术手段;正确使用多媒体教室的各种教学设备;
具有运用多媒体教学软件进行辅助教学的能力。②老教师计算机普及班,目的是使老教师能了解计算机的基础知识,
掌握一般字表处理软件和课件的使用。③计算机基础知识培训班,参加对象是中青年教师,目的是使教师掌握基本软件操作技术,能熟练应用多媒体教学软件进行辅助教学,
能运用计算机多媒体技术开发、制作简单的教学辅助软件,
能运用计算机及信息网络进行教育科研。④网络应用培训班,参加对象为全体教师,目的是让全体教师能运用校园网检索各种信息资源,进行全方位的教学交流。
学会浏览器的使用和简单设置,
电子邮件的工作原理和收发技能,使用方法等。⑤教学课件制作培训班,参加对象为部分青年教师,目的是培养一批能开发制作本专业教学课件的骨干教师,
为我校开发学科课件系列打好基础。
另外我们还在网上建立了教师继续教育基地,部分教师继续教育课程、教育系统的计算机考核课程和练习、教师普通话考核课程和练习等内容均已上网。
、学生:全校有三个年段开设信息技术课程,每周两课时,
还由学生会和团委会举办信息技术讲座,组织学生学习网络知识,
让学生学会在网上快速查找资料,下载资料、收发电子邮件、加入网上讨论,使他们能利用网络资源进行自主学习、创作电脑作品,培养学生的创新精神和实践能力。
四、建立教育应用策略,
开展创造教育整体改革。
由于有了以上三条强有力的措施,
校园网上庞大的共享教学资源为教师进行创造性的教学实践提供了有力保证,使得我们实施教育应用策略成为可能。
、创设教学环境。
由于在校园局域网中使用了用户管理策略,教师有了安全的个人电子教案夹(存储空间),他们可以在办公室、备课室、电子阅览室等场所,
根据自己的教学需要,将网上的各种资料加工制成自己的电子教案试卷等,存放在个人空间里,教学时在任何时间,
不同的教室中都可方便使用。也可以在公共交换区进行信息文件交流。
我校考试中心规定,
期中考和期末考试卷都要采用文档提交。
现在所有备课组长和大部分中青年教师已经能熟练的使用电脑编辑试卷,并利用校园网提交和交流,运用数据库软件分析学生成绩。
凡是开设公开课、观摩课、研讨课以及说课的教师都积极踊跃地应用现代教育技术媒体,
通过教学课件的运用来提高教学效率,优化教学过程。如我校庄老师在高中化学《原电池》教学中用动画演示电解液中离子的运动;
林老师在高中物理《简谐振动》中用课件形象的分析了弹簧振子位移、回复力等四个矢量的变化规律;林老师的语文课、杨老师的政治课,都采用了我校自己开发的多媒体教学课件,
这些课程都获得福建省优质课一等奖,都受到了普遍的好评,
而课件的多种媒体资料都来自网络。
课件《简谐振动》、《滑动变阻器》分别获得第一、二届全国“”全国多媒体教育软件大奖赛一、二等奖,
网络课件《遗传变异》获得第三届全国“”全国多媒体教育软件大奖赛一等奖。模拟危险实验的《氢气还原氧化铜实验》课件获华东区化学课件比赛一等奖。几年来,
我校教师设计制作的多媒体课件参加省市级以上评比获奖的就有人次以上。这些成绩的获得,校园网的作用功不可没。
由于课件制作的普及程度较高,计算机辅助教学的课堂占有率也较高,较好地实现了普及与提高有机结合。为学生的创造思维创设各种教学情境,将新型教学方式展现在学生面前。
、展现学生的个性与创造力
在对学生进行创造力培养上,
我们组织学生制作自己班级、个人网页,校园网给了学生展现自己个性和创造力的天地;在学校组织的各种辩论、讨论会时,校园网又成为学生查找资料、收集论据的工具。
培养和发展了学生的个性和创造力,为学生的学习提供了更多的选择机会。
、开展课外活动。
通过选修课、活动课等方式组织学生进行网页制作、参加网上论坛等活动,部分学生在校园网主页上的专栏,
“发明家的摇篮”上自己的创意发明构思,提供各种创造构思供他人思考、讨论,培养了学生的创新意识。
在“发明家的摇篮”网页上可以浏览到我校学生获得的,共计次的国际、全国、省、市各种发明奖项的作品介绍和创作思路,
可以查询到我校小发明家们取得的十四项国家专利,大大激发了学生发明创造的欲望。
、网络课程开发。
在多媒体计算机网络教室的环境下,学生利用计算机进行学习,
利用进行学习讨论。我们在网上尝试开设了高中英语、信息技术等网络课程,都取得较好效果。该方式通过学生自主性学习,
使因材施教、分层教学成为可能。适应学生的个性发展和自学能力的培养,为学生的终身教育打下基础。
校园网的建设和维护需要投入大量的人力物力,
信息资源的建设需要长期的努力和积累,要做的工作还很多。以上是我们在校园网建设过程中的点滴经验,借此抛砖引玉,以期与同行们切磋。
[参考文献]
.专业指南(清华大学出版社)
现代远程教育及校园网建设全书(朱百钢)
校园网络改造方案篇
摘要:随着电子商务的迅猛发展和校园信息化的不断深入,校园电子商务应运而生并快速发展。本文从分析校园电子商务的概念及特点入手,深入分析校园电子商务的安全问题及安全需求,在结合电子商务安全机制的基础上,
为校园电子商务的安全交易提出可供参考的解决方案。
关键词:校园;电子商务;安全;解决方案
引言
随着网络的不断普及和电子商务的迅猛发展,
电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活方式,越来越多的人们开始接受并喜爱网上购物,
可是,
电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,
安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,
其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
校园电子商务概述。
.校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,
它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
.校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,
这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,
校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
校园电子商务的安全问题。
.校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。
校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
.校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,
是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,
比如:身份窃取、非授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。
校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,
网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。
信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;
假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
.校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,
可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
校园电子商务安全解决方案。
.校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,
再结合的电子商务的安全技术,总结校园电子商务安全体系结构,如图所示:
上述安全体系结构中,
人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和交易服务器;
安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
()营造良好校园人文环境。
加强大学生的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
()建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,
由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
()建立统一身份认证系统。
建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
()组织物流配送团队。
校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
.校园网络安全对策。
保障校园网络安全的主要措施有:
()防火墙技术。
利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,
使只有授权的校园合法用户才能对校园网的资源进行访问,防止来自外部互联网对内部网络的破坏。
()病毒防治技术。
在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,
校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
()技术。
目前,
我国高校大都已经建立了校园一卡通工程,
如果能利用技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
.交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,
可以保证信息的机密性;
通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题;通过安全协议方法,
建立安全信息传输通道来保证电子商务交易过程和数据的安全。
()数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,
主要有对称加密和非对称加密。
对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。
不对称加密,即加密密钥不同于解密密钥,
加密密钥公之于众,而解密密钥不公开。
()认证技术。认证技术是保证电子商务交易安全的一项重要技术,
它是网上交易支付的前提,负责对交易各方的身份进行确认。
在校园电子商务中,
网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
()安全协议技术。目前,电子商务发展较成熟和实用的安全协议是和协议。
通过对与两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用协议。位于传输层与应用层之间,能够更好地封装应用层数据,
不用改变位于应用层的应用程序,
对用户是透明的。而且只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,
保证传输数据的安全。
.基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,
使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
()校园网是一个内部网络,
它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,
校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。
()校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。
校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。
同时,由于校内人员身份单一,
多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
结束语。
开展校园电子商务是推进校园信息化建设的重要内容,
随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,
它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,
安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支付,
是当前校园电子商务发展要着重研究的关键问题。
参考文献:
[]李洪心。
电子商务安全[]。大连:东北财经大学出版社,。
[]杨坚争,赵雯,杨立钒。电子商务安全与电子支付[]。北京:机械工业出版社,
。
[]刘克强。
电子交易与支付[]。北京:人民邮电出版社,。
[],,著,许剑卓等译。
网络安全-公众世界中的秘密通信[]。北京:电子工业出版社,
